Servicio de Impuestos Internos - Suplantación con malware
CMV24-00478Desde el CSIRT de Gobierno alertamos del descubrimiento de una nueva campaña de difusión de malware.
En esta ocasión, se trata de una campaña de phishing con malware, distribuido a través de un email que se hace pasar como proveniente del Servicio de Impuestos Internos (SII).
El correo electrónico alude a supuestas facturas impagas para provocar que el destinatario haga clic en un enlace malicioso.
Si la víctima hace clic, descarga el archivo enlazado e interactúa con el fichero malicioso, se encuentra con Mekotio, un troyano bancario dirigido principalmente a naciones de Iberoamérica (con campañas que apuntan a diferentes países, como Chile) y que destaca por el uso de comandos de base de datos SQL para obtener información del sistema infectado y enviarla a un servidor de comando y control.
Indicadores de Compromiso
| Tipo | Valor | Comentario |
|---|---|---|
| IP:Puerto | 104. 237. 152. 250: 2050 | Comando y control |
| IPv4 | 161. 132. 40. 128 | IP SMTP |
| SHA256 | 41421f5c12d966493a33483f6ea460a6162edb01d25ca6f7a07b0cfb5fba4bd7 | impuestomayonopagoMayo.zip |
| SHA256 | 4ef45d10ebca266197d7461702a584f661c2b5df40f19f05cf7c56899ee7e2cc | impuestomayonopagoMayo.bat |
| Asunto Email | Factura electrónica - 8171983935208134 | Asunto correo |
| support@gpsplus. pe | Correo de salida |
Evidencias
